of 11
8/13/2019 16 round differential cryptanalysis of DES
1/11
6 ] N a t i o n a l B u r e a u o f S t a n d a r d s , D a t a E n c r y p t i o n S t a n d a r d , U . S . D e p a r t m e n t o f
C o m m e r c e , F I P S p u b . 4 6 , J a n u a r y 1 9 7 7 .
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
2/11
o f n , i f p > 2
4 0 2
t h e n t h e n u m b e r o f a n a l y z e d p l a i n t e x t s i s t w o a n d t h e c o m p l e x i t y
o f t h e d a t a a n a l y s i s p h a s e i s 2
3 2
. H o w e v e r , u s i n g a b o u t f o u r t i m e s a s m a n y c h o s e n
p l a i n t e x t s , w e c a n u s e t h e c l i q u e a l g o r i t h m ( d e s c r i b e d i n 1 ] ) a n d r e d u c e t h e t i m e
c o m p l e x i t y o f t h e d a t a a n a l y s i s p h a s e t o l e s s t h a n a s e c o n d o n a p e r s o n a l c o m p u t e r .
T h e k n o w n p l a i n t e x t a t t a c k s n e e d a b o u t 2
3 2
p
0 5
k n o w n p l a i n t e x t s ( i n t h i s c a s e t h e
s y m m e t r y d o e s n o t h e l p ) . T h e a p p l i c a t i o n o f t h e k n o w n p l a i n t e x t a t t a c k t o e i g h t
r o u n d s n e e d s a p o o l o f 2
3 8 5
k n o w n p l a i n t e x t s . T h e a p p l i c a t i o n t o 1 2 r o u n d s n e e d s
a p o o l o f 2
4 7 2
k n o w n p l a i n t e x t s . T h e a p p l i c a t i o n t o 1 5 r o u n d s n e e d s a p o o l o f 2
5 5 6
k n o w n p l a i n t e x t s a n d t h e a p p l i c a t i o n t o t h e f u l l 1 6 - r o u n d D E S n e e d s a p o o l o f 2
5 5 1
k n o w n p l a i n t e x t s . T h i s i s s l i g h t l y w o r s e t h a n t h e 2
5 5
c o m p l e x i t y o f e x h a u s t i v e s e a r c h
( w h i c h i n t h e c a s e o f a k n o w n p l a i n t e x t a t t a c k r e q u i r e s a b o u t 2
3 3
p l a i n t e x t s i n o r d e r
t o g e n e r a t e a c o m p l e m e n t a r y p a i r v i a t h e b i r t h d a y p a r a d o x ) .
T h i s s p e c i c a t t a c k i s n o t d i r e c t l y a p p l i c a b l e t o p l a i n t e x t s c o n s i s t i n g s o l e l y o f
A S C I I c h a r a c t e r s s i n c e s u c h p l a i n t e x t s c a n n o t g i v e r i s e t o t h e d e s i r e d X O R d i e r e n c e s .
B y u s i n g s e v e r a l o t h e r i t e r a t i v e c h a r a c t e r i s t i c s w e c a n a t t a c k t h e f u l l 1 6 - r o u n d D E S
w i t h a p o o l o f a b o u t 2
4 9
c h o s e n A S C I I p l a i n t e x t s ( o u t o f t h e 2
5 6
p o s s i b l e A S C I I
p l a i n t e x t s ) .
R e f e r e n c e s
1 ] E l i B i h a m , A d i S h a m i r , D i e r e n t i a l C r y p t a n a l y s i s o f D E S - l i k e C r y p t o s y s t e m s ,
J o u r n a l o f C r y p t o l o g y , V o l . 4 , N o . 1 , p p . 3 { 7 2 , 1 9 9 1 . T h e e x t e n d e d a b s t r a c t
a p p e a r s i n L e c t u r e N o t e s i n C o m p u t e r S c i e n c e , A d v a n c e s i n C r y p t o l o g y ,
p r o c e e d i n g s o f C R Y P T O ' 9 0 , p p . 2 { 2 1 , 1 9 9 0 .
2 ] E l i B i h a m , A d i S h a m i r , D i e r e n t i a l C r y p t a n a l y s i s o f F E A L a n d N - H a s h ,
t e c h n i c a l r e p o r t C S 9 1 - 1 7 , D e p a r t m e n t o f A p p l i e d M a t h e m a t i c s a n d C o m p u t e r
S c i e n c e , T h e W e i z m a n n I n s t i t u t e o f S c i e n c e , 1 9 9 1 . T h e e x t e n d e d a b s t r a c t a p p e a r s
i n L e c t u r e N o t e s i n C o m p u t e r S c i e n c e , A d v a n c e s i n C r y p t o l o g y , p r o c e e d i n g s o f
E U R O C R Y P T ' 9 1 , p p . 1 { 1 6 , 1 9 9 1 .
3 ] E l i B i h a m , A d i S h a m i r , D i e r e n t i a l C r y p t a n a l y s i s o f S n e f r u , K h a f r e , R E D O C -
I I , L O K I a n d L u c i f e r , t e c h n i c a l r e p o r t C S 9 1 - 1 8 , D e p a r t m e n t o f A p p l i e d
M a t h e m a t i c s a n d C o m p u t e r S c i e n c e , T h e W e i z m a n n I n s t i t u t e o f S c i e n c e , 1 9 9 1 .
T h e e x t e n d e d a b s t r a c t a p p e a r s i n L e c t u r e N o t e s i n C o m p u t e r S c i e n c e , A d v a n c e s
i n C r y p t o l o g y , p r o c e e d i n g s o f C R Y P T O ' 9 1 , p p . 1 5 6 { 1 7 1 , 1 9 9 1 .
4 ] D a v i d C h a u m , J a n - H e n d r i k E v e r t s e , C r y p t a n a l y s i s o f D E S w i t h a r e d u c e d
n u m b e r o f r o u n d s , S e q u e n c e s o f l i n e a r f a c t o r s i n b l o c k c i p h e r s , L e c t u r e N o t e s
i n C o m p u t e r S c i e n c e , A d v a n c e s i n C r y p t o l o g y , p r o c e e d i n g s o f C R Y P T O ' 8 5 ,
p p . 1 9 2 { 2 1 1 , 1 9 8 5 .
5 ] D . W . D a v i e s , I n v e s t i g a t i o n o f a P o t e n t i a l W e a k n e s s i n t h e D E S A l g o r i t h m ,
1 9 8 7 , p r i v a t e c o m m u n i c a t i o n .
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
3/11
R o u n d s C h o s e n A n a l y z e d C o m p l e x i t y B e s t P r e v i o u s
P l a i n t e x t s P l a i n t e x t s o f A n a l y s i s T i m e S p a c e
8 2
1 4
4 2
9
2
1 6
2
2 4
9 2
2 4
2 2
3 2
2
2 6
2
3 0
1 0 2
2 4
2
1 4
2
1 5
2
3 5
1 1 2
3 1
2 2
3 2
2
3 6
1 2 2
3 1
2
2 1
2
2 1
2
4 3
1 3 2
3 9
2 2
3 2
2
4 4
2
3 0
1 4 2
3 9
2
2 9
2
2 9
2
5 1
1 5 2
4 7
2
7
2
3 7
2
5 2
2
4 2
1 6 2
4 7
2
3 6
2
3 7
2
5 8
T a b l e 2 . S u m m a r y o f t h e n e w m e m o r y l e s s r e s u l t s o n D E S .
f r o m 2
4 8
t o 2
4 7
T h e g e n e r a l f o r m o f t h e n e w a t t a c k c a n b e s u m m a r i z e d i n t h e f o l l o w i n g w a y : G i v e n
a c h a r a c t e r i s t i c w i t h p r o b a b i l i t y p a n d s i g n a l t o n o i s e r a t i o S = N f o r a c r y p t o s y s t e m
w i t h k k e y b i t s , w e c a n a p p l y a m e m o r y l e s s a t t a c k w h i c h e n c r y p t s
2
p
c h o s e n p l a i n t e x t s
i n t h e d a t a c o l l e c t i o n p h a s e a n d h a s c o m p l e x i t y o f
2
k
S = N
t r i a l e n c r y p t i o n s d u r i n g t h e
d a t a a n a l y s i s p h a s e . T h e n u m b e r o f c h o s e n p l a i n t e x t s c a n b e r e d u c e d t o
1
p
b y u s i n g
a p p r o p r i a t e m e t a s t r u c t u r e s , a n d t h e e e c t i v e t i m e c o m p l e x i t y c a n b e r e d u c e d b y a
f a c t o r o f f 1 i f a t e s t e d k e y c a n b e d i s c a r d e d b y c a r r y i n g o u t o n l y a f r a c t i o n f
o f t h e r o u n d s . T h e r e f o r e , m e m o r y l e s s a t t a c k s c a n b e m o u n t e d w h e n e v e r p > 2
1 k
a n d S = N > 1 . T h e m e m o r y l e s s a t t a c k s r e q u i r e f e w e r c h o s e n p l a i n t e x t s c o m p a r e d t o
t h e c o r r e s p o n d i n g c o u n t i n g s c h e m e s , b u t i f t h e s i g n a l t o n o i s e r a t i o i s t o o l o w o r i f
t h e n u m b e r o f t h e k e y b i t s o n w h i c h w e c o u n t i s s m a l l , t h e t i m e c o m p l e x i t y o f t h e
d a t a a n a l y s i s p h a s e m a y b e h i g h e r t h a n t h e c o r r e s p o n d i n g c o m p l e x i t y o f t h e c o u n t i n g
s c h e m e .
I n t h e a t t a c k d e s c r i b e d i n t h i s p a p e r , p = 2
4 7 2
, k = 5 6 , f =
1
4
a n d S = N = 2
1 6 8
T h e r e f o r e , t h e n u m b e r o f c h o s e n p l a i n t e x t s i s
2
p
= 2
4 8 2
w h i c h c a n b e r e d u c e d t o
1
p
= 2
4 7 2
b y u s i n g m e t a s t r u c t u r e s , a n d t h e c o m p l e x i t y o f t h e d a t a a n a l y s i s p h a s e i s
2
3 7 2
e q u i v a l e n t D E S o p e r a t i o n s .
T h e p e r f o r m a n c e o f t h e n e w a t t a c k f o r v a r i o u s n u m b e r s o f r o u n d s i s s u m m a r i z e d
i n T a b l e 2 . V a r i a n t s w i t h a n e v e n n u m b e r o f r o u n d s n h a v e a c h a r a c t e r i s t i c w i t h
p r o b a b i l i t y p =
1
2 3 4
( n 4 ) = 2
, r e q u i r e p
1
c h o s e n p l a i n t e x t s , a n d a n a l y z e p
1
2
1 0 7 5
p l a i n t e x t s i n t i m e c o m p l e x i t y p
1
2
1 0
. T h e k n o w n p l a i n t e x t v a r i a n t o f t h e n e w a t t a c k
n e e d s a b o u t 2
3 1 5
p
0 5
k n o w n p l a i n t e x t s ( u s i n g t h e s y m m e t r y o f t h e c r y p t o s y s t e m
w h i c h m a k e s i t p o s s i b l e t o d o u b l e t h e n u m b e r o f k n o w n e n c r y p t i o n s b y r e v e r s i n g t h e
r o l e s o f t h e p l a i n t e x t s a n d t h e c i p h e r t e x t s ) . V a r i a n t s w i t h a n o d d n u m b e r o f r o u n d s n
h a v e a c h a r a c t e r i s t i c w i t h p r o b a b i l i t y p =
1
2 3 4
( n 3 ) = 2
, r e q u i r e p
1
c h o s e n p l a i n t e x t s ,
a n d a n a l y z e p
1
2
4 0 2
p l a i n t e x t s i n t i m e c o m p l e x i t y p
1
2
1 0
. F o r s u c h o d d v a l u e s
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
4/11
B y c o m p a r i n g t h e s e b i t v a l u e s t o t h e c a n d i d a t e i n p u t s o f t h e S b o x e s w e e n d u p w i t h
a b o u t o n e c a n d i d a t e i n p u t f o r S 1 , o n e f o r S 2 , a n d o n l y a b o u t h a l f o f t h e t r i a l s w o u l d
r e s u l t w i t h a c a n d i d a t e i n p u t f o r S 3 . W e c a n n o w d e d u c e a l l t h e b i t s o f g w h i c h e n t e r
t h e s e t h r e e S b o x e s a n d d e d u c e t h e c o r r e s p o n d i n g b i t s o f H b y H = g l . T w o o f
t h e s e b i t s a r e o u t p u t s o f S 5 , t w o b i t s a r e o u t p u t s o f S 6 , t h r e e a r e o u t p u t s o f S 7 a n d
o n e i s o u t p u t o f S 8 . F o r e a c h o f t h e s e f o u r S b o x e s w e k n o w t h e i n p u t X O R a n d t h e
o u t p u t X O R , a n d c a n d e d u c e a b o u t 4 { 5 p o s s i b l e i n p u t s . S i n c e w e a l s o k n o w a c t u a l
o u t p u t b i t s , t h e n u m b e r o f p o s s i b l e i n p u t s i s r e d u c e d t o a b o u t o n e f o r S 5 a n d S 6 ,
t w o f o r S 8 , b u t o n l y h a l f o f t h e t r i a l s w o u l d r e s u l t w i t h a c a n d i d a t e f o r S 7 . W e c a n
d e d u c e 2 4 o u t o f t h e 2 8 b i t s o f t h e r i g h t k e y r e g i s t e r b y X O R i n g t h e 2 4 c o m p u t e d
b i t s a t t h e i n p u t s o f t h e s e f o u r S b o x e s w i t h t h e e x p a n d e d v a l u e o f t h e k n o w n r i g h t
h a l f o f t h e c i p h e r t e x t .
W e c a n n o w s u m m a r i z e t h e p e r f o r m a n c e o f t h e n e w a t t a c k i n t h e f o l l o w i n g w a y .
E a c h s t r u c t u r e c o n t a i n s a r i g h t p a i r w i t h p r o b a b i l i t y 2
3 5 2
. T h e d a t a c o l l e c t i o n p h a s e
e n c r y p t s a p o o l o f a b o u t 2
3 5
s t r u c t u r e s , w h i c h c o n t a i n a b o u t 2
3 5
2
1 3
= 2
4 8
c h o s e n
p l a i n t e x t s , f r o m w h i c h a b o u t 2
3 5
1 1 9 = 2
3 5 2 5
p a i r s ( 2
3 6 2 5
c i p h e r t e x t s ) r e m a i n a s
c a n d i d a t e i n p u t s t o t h e d a t a a n a l y s i s p h a s e . T h e p r o b a b i l i t y t h a t a t l e a s t o n e o f
t h e m i s a r i g h t p a i r i s a b o u t 5 8 % , a n d t h e a n a l y s i s o f a n y r i g h t p a i r i s g u a r a n t e e d
t o l e a d t o t h e c o r r e c t k e y . T h e t i m e c o m p l e x i t y o f t h i s d a t a a n a l y s i s p h a s e i s a b o u t
2
3 5
4 = 2
3 7
e q u i v a l e n t D E S o p e r a t i o n s .
I n o r d e r t o f u r t h e r r e d u c e t h e n u m b e r o f c h o s e n p l a i n t e x t s , w e c a n u s e t h e q u a r t e t
m e t h o d o f 1 ] . S i n c e t h e b a s i c c o l l e c t i o n o f p l a i n t e x t s i n t h e n e w a t t a c k i s a s t r u c t u r e
r a t h e r t h a n a p a i r , w e c r e a t e m e t a s t r u c t u r e s w h i c h c o n t a i n 2
1 4
c h o s e n p l a i n t e x t s ,
b u i l t f r o m t w o s t r u c t u r e s w h i c h c o r r e s p o n d t o t h e s t a n d a r d i t e r a t i v e c h a r a c t e r i s t i c
a n d f r o m t w o s t r u c t u r e s w h i c h c o r r e s p o n d t o t h e f o l l o w i n g i t e r a t i v e c h a r a c t e r i s t i c :
y
P
= (
y
; 0 ) = 1 B 6 0 0 0 0 0 0 0 0 0 0 0 0 0
x
A
0
= 0 a
0
= 0 a l w a y s
B
0
= 0 b
0
=
y
= w i t h p r o b a b i l i t y a b o u t
1
2 3 4
1 B 6 0 0 0 0 0
x
y
T
= ( 0 ;
y
) = 0 0 0 0 0 0 0 0 1 B 6 0 0 0 0 0
x
F
F
T h i s c h a r a c t e r i s t i c h a s t h e s a m e p r o b a b i l i t y a s t h e p r e v i o u s o n e . W i t h t h e s e m e t a s -
t r u c t u r e s , w e c a n o b t a i n f o u r t i m e s a s m a n y p a i r s f r o m t w i c e a s m a n y p l a i n t e x t s , a n d
t h u s r e d u c e t h e n u m b e r o f c h o s e n p l a i n t e x t s e n c r y p t e d i n t h e d a t a c o l l e c t i o n p h a s e
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
5/11
K 1 6
L e f t K e y R e g i s t e r R i g h t K e y R e g i s t e r
S 1 S 2 S 3 S 4 X S 5 S 6 S 7 S 8 X
K 1 S 1 2 1 1 2
S 2 2 1 2 1
S 3 2 3 1
S 4 2 3 1
X 1 3
S 5 1 2 2 1
S 6 3 2 1
S 7 2 2 2
S 8 2 3 1
X 1 2 1
T a b l e 1 . T h e n u m b e r o f c o m m o n b i t s e n t e r i n g t h e S b o x e s i n t h e r s t r o u n d ( K 1 )
a n d i n t h e s i x t e e n t h r o u n d ( K 1 6 ) .
1 6
1
4
= 4 e q u i v a l e n t D E S o p e r a t i o n s . E a c h r e m a i n i n g c h o i c e o f t h e 5 6 - b i t k e y i s
v e r i e d v i a t r i a l e n c r y p t i o n o f o n e o f t h e p l a i n t e x t s a n d c o m p a r i n g t h e r e s u l t t o t h e
c o r r e s p o n d i n g c i p h e r t e x t . I f t h e t e s t s u c c e e d s , t h e r e i s a v e r y h i g h p r o b a b i l i t y t h a t
t h i s k e y i s t h e r i g h t k e y . N o t e t h a t t h e s i g n a l t o n o i s e r a t i o o f t h i s c o u n t i n g s c h e m e
i s S = N =
2
5 2
2
4 7 2
1 1 9 = 2
1 2
0 8 4
= 2
1 6 8
T h i s d a t a a n a l y s i s c a n b e c a r r i e d o u t e c i e n t l y b y c a r e f u l l y c h o o s i n g t h e o r d e r
i n w h i c h w e t e s t t h e v a r i o u s k e y b i t s . W e r s t e n u m e r a t e a l l t h e p o s s i b l e v a l u e s o f
t h e s i x k e y b i t s o f S 4
K h
, a n d e l i m i n a t e a n y v a l u e w h i c h d o e s n o t g i v e r i s e t o t h e
e x p e c t e d X O R o f t h e f o u r o u t p u t b i t s f r o m t h i s S b o x . T h i s l e a v e s f o u r o u t o f t h e
6 4 p o s s i b i l i t i e s i n a v e r a g e . T a b l e 1 s h o w s t h e n u m b e r o f c o m m o n b i t s e n t e r i n g t h e S
b o x e s i n t h e r s t r o u n d a n d i n t h e s i x t e e n t h r o u n d . T h e n o t a t i o n X d e n o t e s t h e b i t s
w h i c h a r e n o t u s e d i n t h e s p e c i c s u b k e y . W e s e e t h a t t h r e e o f t h e b i t s o f S 4
K h
a r e
s h a r e d w i t h S 3
K a
. W e c o m p l e t e t h e t h r e e m i s s i n g b i t s o f S 3
K a
i n a l l p o s s i b l e w a y s ,
a n d r e d u c e t h e a v e r a g e n u m b e r o f p o s s i b i l i t i e s t o t w o . T w o b i t s o f S 1
K h
a r e s h a r e d
w i t h S 3
K a
. B y c o m p l e t i n g t h e f o u r m i s s i n g b i t s o f S 1
K h
a n d t h e n t h e t w o m i s s i n g
b i t s o f S 2
K a
w e c a n r e d u c e t h e a v e r a g e n u m b e r o f p o s s i b i l i t i e s t o a b o u t h a l f . A f t e r
c o m p l e t i n g t h e 1 3 r e m a i n i n g b i t s o f t h e l e f t k e y r e g i s t e r i n a s i m i l a r w a y , t h e a v e r a g e
n u m b e r o f v a l u e s s u g g e s t e d f o r t h i s h a l f o f t h e k e y i s o n e .
T o c o m p u t e b i t s f r o m t h e r i g h t k e y r e g i s t e r , w e r s t e x t r a c t a c t u a l S b o x b i t s f r o m
t h e i r a s s u m e d X O R e d v a l u e s . I n t h e f t e e n t h r o u n d w e k n o w t h e i n p u t X O R s a n d
t h e o u t p u t X O R s o f S 1 , S 2 a n d S 3 . W e c a n t h u s g e n e r a t e a b o u t 4 { 5 c a n d i d a t e i n p u t s
f o r e a c h o n e o f t h e s e S b o x e s , a n d d e d u c e t h e c o r r e s p o n d i n g b i t s i n g b y X O R i n g w i t h
t h e k n o w n b i t s o f t h e l e f t k e y r e g i s t e r . I n a s i m i l a r w a y , w e c a n c a l c u l a t e t h e o u t p u t s
o f t h e S b o x e s S 1 , S 2 , S 3 a n d S 4 i n t h e s i x t e e n t h r o u n d , X O R t h e s e b i t s o f H w i t h
t h e k n o w n b i t s o f t h e l e f t h a l f o f t h e c i p h e r t e x t l a n d g e t 1 6 b i t s o f g , f r o m w h i c h
t w o b i t s e n t e r S 1 , t w o b i t s e n t e r S 2 a n d t h r e e b i t s e n t e r S 3 i n t h e f t e e n t h r o u n d .
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
6/11
( o r h a s h ) t h e t w o g r o u p s o f 2
1 2
c i p h e r t e x t s T
i
,
T
j
b y t h e s e 2 0 b i t p o s i t i o n s , a n d d e t e c t
a l l t h e r e p e a t e d o c c u r r e n c e s o f v a l u e s a m o n g t h e 2
2 4
c i p h e r t e x t p a i r s i n a b o u t 2
1 2
t i m e . A n y p a i r o f p l a i n t e x t s w h i c h f a i l s t h i s t e s t h a s a n o n - z e r o c i p h e r t e x t X O R a t
t h o s e 2 0 b i t p o s i t i o n s , a n d t h u s c a n n o t b e a r i g h t p a i r b y d e n i t i o n . S i n c e e a c h o n e o f
t h e 2
2 4
p o s s i b l e p a i r s p a s s e s t h i s t e s t w i t h p r o b a b i l i t y 2
2 0
, w e e x p e c t a b o u t 2
4
= 1 6
p a i r s t o s u r v i v e . B y t e s t i n g a d d i t i o n a l S b o x e s i n t h e r s t , f t e e n t h , a n d s i x t e e n t h
r o u n d s a n d e l i m i n a t i n g a l l t h e p a i r s w h o s e X O R v a l u e s a r e i n d i c a t e d a s i m p o s s i b l e
i n t h e p a i r s X O R d i s t r i b u t i o n t a b l e s o f t h e v a r i o u s S b o x e s , w e c a n d i s c a r d a b o u t
9 2 . 5 5 % o f t h e s e s u r v i v i n g p a i r s
1
l e a v i n g o n l y 1 6 0 0 7 4 5 = 1 1 9 p a i r s p e r s t r u c t u r e
a s t h e e x p e c t e d o u t p u t o f t h e d a t a c o l l e c t i o n p h a s e . A l l t h e s e a d d i t i o n a l t e s t s c a n
b e i m p l e m e n t e d b y a f e w t a b l e l o o k u p o p e r a t i o n s i n t o s m a l l p r e c o m p u t e d t a b l e s , a n d
t h e i r t i m e c o m p l e x i t y i s m u c h s m a l l e r t h a n t h e t i m e r e q u i r e d t o p e r f o r m o n e t r i a l
e n c r y p t i o n d u r i n g a n e x h a u s t i v e s e a r c h . N o t e t h a t t h i s l t e r i n g p r o c e s s r e m o v e s o n l y
w r o n g p a i r s b u t n o t a l l o f t h e m a n d t h u s t h e i n p u t o f t h e d a t a a n a l y s i s p h a s e i s s t i l l
a m i x t u r e o f r i g h t a n d w r o n g p a i r s .
T h e d a t a a n a l y s i s p h a s e o f p r e v i o u s d i e r e n t i a l c r y p t a n a l y t i c a t t a c k s u s e d h u g e
a r r a y s o f u p t o 2
4 2
c o u n t e r s t o n d t h e m o s t p o p u l a r v a l u e s o f c e r t a i n k e y b i t s . T h e
n e w v a r i a n t o f d i e r e n t i a l a t t a c k d e s c r i b e d i n t h i s p a p e r u s e s o n l y n e g l i g i b l e s p a c e .
W e w a n t t o c o u n t o n a l l t h e k e y b i t s s i m u l t a n e o u s l y b u t c a n n o t a o r d t h e h u g e a r r a y
o f 2
5 6
c o u n t e r s . I n s t e a d , w e i m m e d i a t e l y t r y e a c h s u g g e s t e d v a l u e o f t h e k e y . A
k e y v a l u e i s s u g g e s t e d w h e n i t c a n c r e a t e t h e o u t p u t X O R v a l u e s o f t h e l a s t r o u n d
a s w e l l a s t h e e x p e c t e d o u t p u t X O R o f t h e r s t r o u n d a n d t h e f t e e n t h r o u n d f o r
t h e p a r t i c u l a r p l a i n t e x t p a i r s a n d c i p h e r t e x t p a i r s . I n t h e r s t r o u n d a n d i n t h e
f t e e n t h r o u n d t h e i n p u t X O R s o f S 4 a n d S 5 , , S 8 a r e a l w a y s z e r o . D u e t o t h e
k e y s c h e d u l i n g a l g o r i t h m , a l l t h e 2 8 b i t s o f t h e l e f t k e y r e g i s t e r a r e u s e d a s i n p u t s t o
t h e S b o x e s S 1 , S 2 a n d S 3 i n t h e r s t a n d t h e f t e e n t h r o u n d s a n d S 1 , , S 4 i n t h e
s i x t e e n t h r o u n d . O n l y 2 4 b i t s o f t h e r i g h t k e y r e g i s t e r a r e u s e d i n t h e s i x t e e n t h r o u n d .
T h u s , 2 8 + 2 4 = 5 2 k e y b i t s e n t e r t h e s e S b o x e s .
2
3 2
0 8
8
o f t h e c h o i c e s o f t h e 5 2 - b i t
v a l u e s r e m a i n b y c o m p a r i n g t h e o u t p u t X O R o f t h e l a s t r o u n d t o i t s e x p e c t e d v a l u e
a n d d i s c a r d i n g t h e o n e s w h o s e v a l u e s a r e n o t p o s s i b l e a n d
2
1 2
1 4
1 6
1 3
1 6
1 5
1 6
o f t h e r e m a i n i n g
o n e s r e m a i n b y c o m p a r i n g t h e o u t p u t X O R o f t h e t h r e e S b o x e s i n t h e r s t r o u n d
t o i t s e x p e c t e d v a l u e . A s i m i l a r f r a c t i o n o f t h e r e m a i n i n g 5 2 - b i t v a l u e s r e m a i n b y
a n a l y z i n g t h e t h r e e S b o x e s i n t h e f t e e n t h r o u n d . E a c h a n a l y z e d p a i r s u g g e s t s
a b o u t 2
5 2
2
3 2
0 8
8
2
1 2
1 4
1 6
1 3
1 6
1 5
1 6
2
1 2
1 4
1 6
1 3
1 6
1 5
1 6
= 0 8 4 v a l u e s f o r t h e s e 5 2 b i t s o f t h e k e y , a n d e a c h
o n e o f t h e m c o r r e s p o n d s t o 1 6 p o s s i b l e v a l u e s o f t h e f u l l 5 6 - b i t k e y . T h e r e f o r e , e a c h
s t r u c t u r e s u g g e s t s a b o u t 1 1 9 0 8 4 1 6 = 1 6 c h o i c e s f o r t h e w h o l e k e y . B y p e e l i n g u p
t w o a d d i t i o n a l r o u n d s w e c a n v e r i f y e a c h s u c h k e y b y p e r f o r m i n g a b o u t o n e q u a r t e r
o f a D E S e n c r y p t i o n ( i . e . , e x e c u t i n g t w o r o u n d s f o r e a c h o n e o f t h e t w o m e m b e r s o f
t h e p a i r ) , l e a v i n g o n l y a b o u t 2
1 2
o f t h e c h o i c e s o f t h e k e y . T h i s l t e r i n g c o s t s a b o u t
1
A f r a c t i o n o f a b o u t
1 4
1 6
1 3
1 6
1 5
1 6
2
0 8
8
= 0 0 7 4 5 o f t h e s e p a i r s r e m a i n a n d t h u s a f r a c t i o n o f
a b o u t 0 . 9 2 5 5 o f t h e m a r e d i s c a r d e d . T h e i n p u t X O R v a l u e s o f t h e S b o x e s i n t h e r s t a n d t h e
f t e e n t h r o u n d s o f r i g h t p a i r s a r e k n o w n a n d x e d , a n d t h u s w e u s e t h e f r a c t i o n o f n o n - z e r o e n t r i e s
o f t h e c o r r e s p o n d i n g l i n e s i n t h e p a i r s X O R d i s t r i b u t i o n t a b l e s w h o s e v a l u e s a r e
1 4
1 6
1 3
1 6
a n d
1 5
1 6
r a t h e r t h a n t h e f r a c t i o n o f t h e n o n - z e r o e n t r i e s i n t h e w h o l e t a b l e s , w h i c h i s a p p r o x i m a t e d b y 0 . 8 .
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
7/11
P
0
= ( L
0
; R
0
) = ( v ; )
A
0
= v a
0
= O n e a d d i t i o n a l r o u n d
B
0
= 0 b
0
= 0
0 = T h e 1 3 - r o u n d
1 9 6 0 0 0 0 0
x
0 0 c h a r a c t e r i s t i c w i t h
0 p r o b a b i l i t y 2
4 7 2
0 0
G
0
= h
0
= r
0
g
0
= T w o r o u n d s f o r
H
0
= g
0
l
0
= h
0
= r
0
t h e 2 R - a t t a c k
l
0
T
0
= ( l
0
; r
0
)
F
F
F
F
F
F
F
F
F i g u r e 1 . T h e e x t e n s i o n o f t h e a t t a c k t o 1 6 r o u n d s .
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
8/11
b e a n n o u n c e d i n r e a l t i m e w h i l e i t i s s t i l l v a l i d ( e . g . , i n o r d e r t o f o r g e a u t h e n t i c a t o r s
f o r b a n k i n g m e s s a g e s ) .
T h e k e y t o s u c c e s s i n s u c h a n a t t a c k i s t o u s e a h i g h p r o b a b i l i t y c h a r a c t e r i s t i c ,
w h i c h m a k e s i t p o s s i b l e t o c o n s i d e r f e w e r w r o n g p a i r s b e f o r e t h e r s t o c c u r r e n c e o f
a r i g h t p a i r . T h e p r o b a b i l i t y o f t h e c h a r a c t e r i s t i c u s e d i n t h e a t t a c k o n t h e 1 5 - r o u n d
v a r i a n t o f D E S i s a b o u t
1
2 3 4
6
= 2
4 7 2
. T h e o b v i o u s w a y t o e x t e n d t h e a t t a c k t o 1 6
r o u n d s i s t o u s e t h e a b o v e i t e r a t i v e c h a r a c t e r i s t i c o n e m o r e t i m e , b u t t h i s r e d u c e s t h e
p r o b a b i l i t y o f t h e c h a r a c t e r i s t i c f r o m 2
4 7 2
t o 2
5 5 1
, w h i c h m a k e s t h e a t t a c k s l o w e r
t h a n e x h a u s t i v e s e a r c h . O u r n e w a t t a c k a d d s t h e e x t r a r o u n d w i t h o u t r e d u c i n g t h e
p r o b a b i l i t y a t a l l .
T h e a s s u m e d e v o l u t i o n o f X O R s o f c o r r e s p o n d i n g v a l u e s d u r i n g t h e e n c r y p t i o n
o f a r i g h t p a i r o f p l a i n t e x t s i n t h e n e w 1 6 - r o u n d a t t a c k a r e s u m m a r i z e d i n F i g u r e 1 ,
w h i c h c o n s i s t s o f t h e o l d 1 5 - r o u n d a t t a c k o n r o u n d s 2 t o 1 6 , p r e c e d e d b y a n e w
r o u n d 1 .
O u r g o a l i s t o g e n e r a t e w i t h o u t l o s s o f p r o b a b i l i t y p a i r s o f p l a i n t e x t s w h o s e X O R e d
o u t p u t s a f t e r t h e r s t r o u n d a r e t h e r e q u i r e d X O R e d i n p u t s ( ; 0 ) i n t o t h e 1 3 - r o u n d
c h a r a c t e r i s t i c o f r o u n d s 2 t o 1 4 . L e t P b e a n a r b i t r a r y 6 4 - b i t p l a i n t e x t , a n d l e t
v
0
; : : : ; v
4 0 9 5
b e t h e 2
1 2
3 2 - b i t c o n s t a n t s w h i c h c o n s i s t o f a l l t h e p o s s i b l e v a l u e s a t t h e
1 2 b i t p o s i t i o n s w h i c h a r e X O R e d w i t h t h e 1 2 o u t p u t b i t s o f S 1 , S 2 a n d S 3 a f t e r
t h e r s t r o u n d , a n d 0 e l s e w h e r e . W e n o w d e n e a s t r u c t u r e w h i c h c o n s i s t s o f 2
1 3
p l a i n t e x t s :
P
i
= P ( v
i
; 0 )
P
i
= ( P ( v
i
; 0 ) ) ( 0 ; ) f o r 0 i
8/13/2019 16 round differential cryptanalysis of DES
9/11
r o u n d i t e r a t i v e c h a r a c t e r i s t i c :
P
= ( ; 0 ) = 1 9 6 0 0 0 0 0 0 0 0 0 0 0 0 0
x
A
0
= 0 a
0
= 0 a l w a y s
B
0
= 0 b
0
= = w i t h p r o b a b i l i t y a b o u t
1
2 3 4
1 9 6 0 0 0 0 0
x
T
= ( 0 ; ) = 0 0 0 0 0 0 0 0 1 9 6 0 0 0 0 0
x
F
F
T h e 1 3 - r o u n d c h a r a c t e r i s t i c r e s u l t s f r o m i t e r a t i n g t h i s c h a r a c t e r i s t i c s i x a n d a h a l f
t i m e s a n d i t ' s p r o b a b i l i t y i s a b o u t 2
4 7 2
. T h e a t t a c k u s e d t h i s c h a r a c t e r i s t i c i n
r o u n d s 1 t o 1 3 , f o l l o w e d b y a 2 R - a t t a c k o n r o u n d s 1 4 t o 1 5 . A n y p a i r o f p l a i n t e x t s
w h i c h g i v e s r i s e t o t h e i n t e r m e d i a t e X O R s s p e c i e d b y t h i s c h a r a c t e r i s t i c i s c a l l e d
a r i g h t p a i r . T h e a t t a c k t r i e s m a n y p a i r s o f p l a i n t e x t s , a n d e l i m i n a t e s a n y p a i r
w h i c h i s o b v i o u s l y w r o n g d u e t o i t s k n o w n i n p u t a n d o u t p u t v a l u e s . H o w e v e r , s i n c e
t h e c r y p t a n a l y s t c a n n o t a c t u a l l y d e t e r m i n e t h e i n t e r m e d i a t e v a l u e s , t h e e l i m i n a t i o n
p r o c e s s i s i m p e r f e c t a n d l e a v e s b e h i n d a m i x t u r e o f r i g h t a n d w r o n g p a i r s .
I n e a r l i e r v e r s i o n s o f d i e r e n t i a l c r y p t a n a l y s i s , e a c h s u r v i v i n g p a i r s u g g e s t e d s e v -
e r a l p o s s i b l e v a l u e s f o r c e r t a i n k e y b i t s . R i g h t p a i r s a l w a y s s u g g e s t t h e c o r r e c t v a l u e
f o r t h e s e k e y b i t s ( a l o n g w i t h s e v e r a l w r o n g v a l u e s ) , w h i l e w r o n g p a i r s s u g g e s t r a n d o m
v a l u e s . W h e n s u c i e n t l y m a n y r i g h t p a i r s a r e a n a l y z e d , t h e c o r r e c t v a l u e ( s i g n a l )
o v e r c o m e s t h e r a n d o m v a l u e s ( n o i s e ) b y b e c o m i n g t h e m o s t f r e q u e n t l y s u g g e s t e d
v a l u e . T h e a c t u a l a l g o r i t h m i s t o k e e p a s e p a r a t e c o u n t e r f o r t h e n u m b e r o f t i m e s
e a c h v a l u e i s s u g g e s t e d , a n d t o o u t p u t t h e i n d e x o f t h e c o u n t e r w i t h t h e m a x i m a l
n a l v a l u e . T h i s a p p r o a c h r e q u i r e s a h u g e m e m o r y ( w i t h u p t o 2
4 2
c o u n t e r s i n t h e
a t t a c k o n t h e 1 5 - r o u n d v a r i a n t o f D E S ) , a n d h a s a n e g l i g i b l e p r o b a b i l i t y o f s u c c e s s
w h e n t h e n u m b e r o f a n a l y z e d p a i r s i s r e d u c e d b e l o w t h e t h r e s h o l d i m p l i e d b y t h e
s i g n a l t o n o i s e r a t i o .
I n t h e n e w v e r s i o n o f d i e r e n t i a l c r y p t a n a l y s i s , w e w o r k s o m e w h a t h a r d e r o n e a c h
p a i r , a n d s u g g e s t a l i s t o f c o m p l e t e 5 6 - b i t k e y s r a t h e r t h a n p o s s i b l e v a l u e s f o r a
s u b s e t o f k e y b i t s . A s a r e s u l t , w e c a n i m m e d i a t e l y t e s t e a c h s u g g e s t e d k e y v i a t r i a l
e n c r y p t i o n , w i t h o u t u s i n g a n y c o u n t e r s . T h e s e t e s t s c a n b e c a r r i e d o u t i n p a r a l l e l
o n d i s c o n n e c t e d p r o c e s s o r s w i t h v e r y s m a l l l o c a l m e m o r i e s , a n d t h e a l g o r i t h m i s
g u a r a n t e e d t o d i s c o v e r t h e c o r r e c t k e y a s s o o n a s t h e r s t r i g h t p a i r i s e n c o u n t e r e d .
S i n c e t h e p r o c e s s i n g o f d i e r e n t p a i r s a r e u n r e l a t e d , t h e y c a n b e g e n e r a t e d b y d i e r e n t
k e y s a t d i e r e n t t i m e s d u e t o f r e q u e n t k e y c h a n g e s , a n d t h e d i s c o v e r y o f a k e y c a n
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
10/11
d e t a i l s ) . I t w a s a d o p t e d a s a U S n a t i o n a l s t a n d a r d i n t h e m i d 7 0 ' s , a n d h a d b e e n
e x t e n s i v e l y a n a l y z e d f o r o v e r 1 5 y e a r s . H o w e v e r , n o a t t a c k w h i c h i s f a s t e r t h a n e x -
h a u s t i v e s e a r c h ( w h o s e c o m p l e x i t y i s 2
5 5
d u e t o a s i m p l e c o m p l e m e n t a t i o n p r o p e r t y
t h a t h a l v e s t h e n u m b e r o f s e a r c h e d k e y s ) h a s e v e r b e e n r e p o r t e d i n t h e o p e n l i t e r a t u r e .
T h e l a c k o f p r o g r e s s i n t h e c r y p t a n a l y s i s o f t h e f u l l D E S l e d m a n y r e s e a r c h e r s t o
a n a l y s e s i m p l i e d v a r i a n t s o f D E S , a n d i n p a r t i c u l a r v a r i a n t s o f D E S w i t h f e w e r t h a n
1 6 r o u n d s . C h a u m a n d E v e r t s e 4 ] d e s c r i b e d a n a t t a c k o n r e d u c e d v a r i a n t s o f D E S ,
w h o s e c o m p l e x i t y i s 2
5 4
f o r t h e s i x - r o u n d v a r i a n t . T h e y s h o w e d t h a t t h e i r a t t a c k
i s n o t a p p l i c a b l e t o v a r i a n t s w i t h e i g h t o r m o r e r o u n d s . D a v i e s 5 ] d e v i s e d a k n o w n
p l a i n t e x t a t t a c k w h o s e a p p l i c a t i o n t o D E S r e d u c e d t o e i g h t r o u n d s a n a l y z e s 2
4 0
k n o w n
p l a i n t e x t s a n d h a s t i m e c o m p l e x i t y 2
4 0
. T h i s a t t a c k i s n o t a p p l i c a b l e t o t h e f u l l 1 6 -
r o u n d D E S s i n c e i t h a s t o a n a l y z e m o r e t h a n t h e 2
6 4
p o s s i b l e p l a i n t e x t s . T h e m o s t
s u c c e s s f u l a t t a c k o n r e d u c e d v a r i a n t s o f D E S w a s t h e m e t h o d w e c a l l e d d i e r e n t i a l
c r y p t a n a l y s i s 1 ] , w h i c h c o u l d b r e a k v a r i a n t s o f D E S w i t h u p t o 1 5 r o u n d s f a s t e r t h a n
v i a e x h a u s t i v e s e a r c h . H o w e v e r , f o r t h e f u l l 1 6 - r o u n d D E S t h e c o m p l e x i t y o f t h e
a t t a c k w a s 2
5 8
, w h i c h w a s s l o w e r t h a n e x h a u s t i v e s e a r c h . S i m i l a r a t t a c k s w e r e u s e d
t o c r y p t a n a l y z e a l a r g e n u m b e r o f D E S - l i k e c r y p t o s y s t e m s a n d h a s h f u n c t i o n s 2 , 3 ] .
I n t h i s p a p e r w e n a l l y b r e a k t h r o u g h t h e 1 6 - r o u n d b a r r i e r . W e d e v e l o p a n i m -
p r o v e d v e r s i o n o f d i e r e n t i a l c r y p t a n a l y s i s w h i c h c a n b r e a k t h e f u l l 1 6 - r o u n d D E S
i n 2
3 7
t i m e a n d n e g l i g i b l e s p a c e b y a n a l y z i n g 2
3 6
c i p h e r t e x t s o b t a i n e d f r o m a l a r g e r
p o o l o f 2
4 7
c h o s e n p l a i n t e x t s . A n i n t e r e s t i n g f e a t u r e o f t h e n e w a t t a c k i s t h a t i t c a n
b e a p p l i e d w i t h t h e s a m e c o m p l e x i t y a n d s u c c e s s p r o b a b i l i t y e v e n i f t h e k e y i s f r e -
q u e n t l y c h a n g e d a n d t h u s t h e c o l l e c t e d c i p h e r t e x t s a r e d e r i v e d f r o m m a n y d i e r e n t
k e y s . T h e a t t a c k c a n b e c a r r i e d o u t i n c r e m e n t a l l y , a n d o n e o f t h e k e y s c a n b e c o m -
p u t e d i n r e a l t i m e w h i l e i t i s s t i l l v a l i d . T h i s i s p a r t i c u l a r l y i m p o r t a n t i n a t t a c k s o n
b a n k a u t h e n t i c a t i o n s c h e m e s , i n w h i c h t h e o p p o n e n t n e e d s o n l y o n e o p p o r t u n i t y t o
f o r g e a m u l t i - m i l l i o n d o l l a r w i r e t r a n s f e r , b u t h a s t o a c t q u i c k l y b e f o r e t h e n e x t k e y
c h a n g e o v e r i n v a l i d a t e s h i s m e s s a g e .
2 T h e N e w A t t a c k
T h e r e a d e r i s a s s u m e d t o b e f a m i l i a r w i t h t h e g e n e r a l c o n c e p t o f d i e r e n t i a l c r y p t -
a n a l y s i s , a n d i n p a r t i c u l a r w i t h t h e d e n i t i o n s a n d n o t a t i o n s i n t r o d u c e d i n 1 ] . A s
u s u a l , w e i g n o r e t h e i n i t i a l p e r m u t a t i o n I P a n d n a l p e r m u t a t i o n I P
1
o f D E S , s i n c e
t h e y h a v e n o e e c t o n o u r a n a l y s i s .
T h e o l d a t t a c k o n t h e 1 5 - r o u n d v a r i a n t o f D E S w a s b a s e d o n t h e f o l l o w i n g t w o -
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991
8/13/2019 16 round differential cryptanalysis of DES
11/11
D i e r e n t i a l C r y p t a n a l y s i s o f
t h e f u l l 1 6 - r o u n d D E S
E l i B i h a m
C o m p u t e r S c i e n c e D e p a r t m e n t
T e c h n i o n - I s r a e l I n s t i t u t e o f T e c h n o l o g y
H a i f a 3 2 0 0 0 , I s r a e l
A d i S h a m i r
D e p a r t m e n t o f A p p l i e d M a t h e m a t i c s a n d C o m p u t e r S c i e n c e
T h e W e i z m a n n I n s t i t u t e o f S c i e n c e
R e h o v o t 7 6 1 0 0 , I s r a e l
A b s t r a c t
I n t h i s p a p e r w e d e v e l o p t h e r s t k n o w n a t t a c k w h i c h i s c a p a b l e o f b r e a k i n g
t h e f u l l 1 6 r o u n d D E S i n l e s s t h a n t h e 2
5 5
c o m p l e x i t y o f e x h a u s t i v e s e a r c h .
T h e d a t a a n a l y s i s p h a s e c o m p u t e s t h e k e y b y a n a l y z i n g a b o u t 2
3 6
c i p h e r t e x t s
i n 2
3 7
t i m e . T h e 2
3 6
u s a b l e c i p h e r t e x t s a r e o b t a i n e d d u r i n g t h e d a t a c o l l e c t i o n
p h a s e f r o m a l a r g e r p o o l o f 2
4 7
c h o s e n p l a i n t e x t s b y a s i m p l e b i t r e p e t i t i o n
c r i t e r i a w h i c h d i s c a r d s m o r e t h a n 9 9 . 9 % o f t h e c i p h e r t e x t s a s s o o n a s t h e y a r e
g e n e r a t e d . W h i l e e a r l i e r v e r s i o n s o f d i e r e n t i a l a t t a c k s w e r e b a s e d o n h u g e
c o u n t e r a r r a y s , t h e n e w a t t a c k r e q u i r e s n e g l i g i b l e m e m o r y a n d c a n b e c a r r i e d
o u t i n p a r a l l e l o n u p t o 2
3 3
d i s c o n n e c t e d p r o c e s s o r s w i t h l i n e a r s p e e d u p . I n
a d d i t i o n , t h e n e w a t t a c k c a n b e c a r r i e d o u t e v e n i f t h e a n a l y z e d c i p h e r t e x t s a r e
d e r i v e d f r o m u p t o 2
3 3
d i e r e n t k e y s d u e t o f r e q u e n t k e y c h a n g e s d u r i n g t h e
d a t a c o l l e c t i o n p h a s e . T h e a t t a c k c a n b e c a r r i e d o u t i n c r e m e n t a l l y w i t h a n y
n u m b e r o f a v a i l a b l e c i p h e r t e x t s , a n d i t s p r o b a b i l i t y o f s u c c e s s g r o w s l i n e a r l y
w i t h t h i s n u m b e r ( e . g . , w h e n 2
2 9
u s a b l e c i p h e r t e x t s a r e g e n e r a t e d f r o m a s m a l l e r
p o o l o f 2
4 0
p l a i n t e x t s , t h e a n a l y s i s t i m e d e c r e a s e s t o 2
3 0
a n d t h e p r o b a b i l i t y o f
s u c c e s s i s a b o u t 1 % ) .
1 I n t r o d u c t i o n
T h e D a t a E n c r y p t i o n S t a n d a r d ( D E S ) i s t h e b e s t k n o w n a n d m o s t w i d e l y u s e d c r y p -
t o s y s t e m f o r c i v i l i a n a p p l i c a t i o n s . I t c o n s i s t s o f 1 6 r o u n d s o f s u b s t i t u t i o n a n d p e r -
m u t a t i o n o p e r a t i o n s , c a r r i e d o u t u n d e r t h e c o n t r o l o f a 5 6 b i t k e y ( s e e 6 ] f o r f u r t h e r
T
echnion-ComputerS
cienceDepartment-T
echnicalReportCS0708-1991